EP1561165B1 - Control unit for activating a protection mechansim for passengers of a motor vehicle and method for monitoring the proper operation of such a control unit - Google Patents

Control unit for activating a protection mechansim for passengers of a motor vehicle and method for monitoring the proper operation of such a control unit Download PDF

Info

Publication number
EP1561165B1
EP1561165B1 EP03767420A EP03767420A EP1561165B1 EP 1561165 B1 EP1561165 B1 EP 1561165B1 EP 03767420 A EP03767420 A EP 03767420A EP 03767420 A EP03767420 A EP 03767420A EP 1561165 B1 EP1561165 B1 EP 1561165B1
Authority
EP
European Patent Office
Prior art keywords
unit
arithmetic unit
signal
gate
arithmetic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
EP03767420A
Other languages
German (de)
French (fr)
Other versions
EP1561165A2 (en
Inventor
Helge Grasshoff
Koutaro Machidera
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP1561165A2 publication Critical patent/EP1561165A2/en
Application granted granted Critical
Publication of EP1561165B1 publication Critical patent/EP1561165B1/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R2021/01122Prevention of malfunction
    • B60R2021/01184Fault detection or diagnostic circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Air Bags (AREA)
  • Debugging And Monitoring (AREA)
  • Protection Of Generators And Motors (AREA)
  • Lock And Its Accessories (AREA)

Description

Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen SteuereinheitControl unit for triggering an occupant protection device in a motor vehicle and method for monitoring the proper functioning of a preferably such control unit

Die Erfindung betrifft eine Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und ein Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit. Die Steuereinheit umfasst dabei eine erste Recheneinheit, eine zweite Recheneinheit und eine Auslöseeinheit, die jeweils asynchron zueinander getaktet sind. Des Weiteren umfasst die Steuereinheit ein erstes und ein zweites logisches UND - Gatter. Die erste und die zweite Recheneinheit umfassen jeweils eine Pulszahlvergleichereinheit und einen Rücksetzer.The invention relates to a control unit for triggering an occupant protection means in a motor vehicle and to a method for monitoring the proper functioning of a preferably such control unit. In this case, the control unit comprises a first arithmetic unit, a second arithmetic unit and a tripping unit, which are each clocked asynchronously with respect to one another. Furthermore, the control unit comprises a first and a second logical AND gate. The first and second arithmetic units each comprise a pulse number comparator unit and a resetter.

Jeweils einem logischen UND - Gatter ist eingangsseitig das Taktsignal der ihm jeweils zugeordneten Recheneinheit zugeführt und des Weiteren das Taktsignal der Auslöseeinheit. Der Signalausgang jeweils eines logischen UND - Gatters wird dem Eingang der Pulszahlvergleichereinheit jeweils einer Recheneinheit zugeführt und der Ausgang der Pulszahlvergleichereinheit dem Eingang des jeweils zugehörigen Rücksetzers einer Recheneinheit.In each case a logical AND gate, the clock signal is supplied to the respective associated arithmetic unit on the input side, and furthermore the clock signal of the tripping unit. The signal output in each case of a logical AND gate is respectively fed to the input of the pulse number comparator unit of a computer and the output of the pulse number comparator unit to the input of the respective associated resetter of a computer.

Der Rücksetzer jeder Recheneinheit ist mit dem Reseteingang der jeweils anderen Recheneinheit verbunden, so dass der zugehörige Rücksetzer die jeweils andere Recheneinheit dann zurücksetzt, wenn die zugehörige Pulszahlvergleichereinheit eine unzulässige Anzahl von Pulsen pro Zeiteinheit im Ausgangssignal des jeweils mit ihr verbundenen UND - Gatters erkennt.The resetter of each arithmetic unit is connected to the reset input of the respective other arithmetic unit, so that the associated resetting device resets the respective other arithmetic unit if the associated pulse number comparator unit detects an impermissible number of pulses per unit time in the output signal of the respective AND gate connected to it.

JP11330931 beschreibt eine Schaltung mit drei asynchronen Recheneinheiten, die jeweils Fehler in den Taktsignalen der anderen Einheiten erkennen können. Jede Recheneinheit liest und wertet zur Fehlererkennung den Stand eines Zählers in den jeweils anderen Einheiten aus. Fehlersignale werden einer zusätzlichen "Supervisor-Einheit" übermittelt. JP11330931 describes a circuit with three asynchronous arithmetic units, each of which can detect errors in the clock signals of the other units. Each arithmetic unit reads and evaluates the status of a counter in the other units for error detection. Error signals are transmitted to an additional "supervisor unit".

Es ist Stand der Technik, mithilfe von Schaltungen Funktionsabläufe in Recheneinheiten zu überwachen und bei erkannten Fehlern in den Funktionsabläufen die fehlerhaften Rechenein-heiten zurückzusetzen. In den Druckschriften DE 100 56 408 C1, DE 100 30 991 A1, DE 100 49 440 A1 und DE 40 39 355 A1 wird hierzu eine sogenannte watchdog-Schaltung verwendet, die die von der Recheneinheit ausgesendeten Impulse hinsichtlich ihrer Impulslänge, Pausenlänge oder der Anzahl der Impulse pro Zeiteinheit auswertet.It is state of the art, with the aid of circuits, to monitor functional sequences in arithmetic units and, in the case of detected errors in the functional sequences, to monitor the erroneous arithmetic units reset. In the documents DE 100 56 408 C1, DE 100 30 991 A1, DE 100 49 440 A1 and DE 40 39 355 A1, a so-called watchdog circuit is used for this purpose, the pulses emitted by the arithmetic unit with regard to their pulse length, pause length or the number evaluates the pulses per unit of time.

In vielen Ansteuerungssystemen wird heutzutage neben einer ersten Recheneinheit eine zweite Recheneinheit vorgesehen.
Die zweite Recheneinheit dient dabei zumeist als Sicherheitsrecheneinheit der Überwachung der ordnungsgemäßen Funktionsweise der ersten Recheneinheit und gegebenenfalls, bei deren Ausfall, einer zumindest teilweisen Übernahme der Rechen- und Ansteuerfunktionen der ersten Recheneinheit.In many control systems, a second arithmetic unit is nowadays provided in addition to a first arithmetic unit.
The second arithmetic unit serves mostly as a security arithmetic unit for monitoring the proper functioning of the first arithmetic unit and, if it fails, for an at least partial acceptance of the arithmetic and control functions of the first arithmetic unit.

Besonders wichtig ist der Einsatz solcher Sicherheitsrecheneinheiten in Verbindung mit einer ersten Hauptrecheneinheit bei Ansteuerungssystemen, deren Ausfall zumindest die Gefahr einer Verletzung von Personen mit sich bringen würde. Ein solches sicherheitsrelevantes Ansteuerungssystem ist beispielsweise die Steuereinheit zur Ansteuerung eines Insassenschutzmittels in einem Kraftfahrzeug. Dort berechnet die Hauptrecheneinheit den Zündzeitpunkt für die Auslösung des geeigneten Insassenschutzmittels, das im Falle eines Aufprallunfalls einem Fahrzeuginsassen den bestmöglichen Schutz vor Verletzungen bietet. Im Anschluss an die Berechnung des besten Zündzeitpunktes gibt die Hauptrecheneinheit die Auslösung des geeigneten Insassenschutzmittels, beispielsweise eines Fahrerairbags, frei.Of particular importance is the use of such security computational units in conjunction with a first main processing unit in control systems whose failure would bring at least the risk of injury to persons. Such a safety-relevant drive system is, for example, the control unit for controlling an occupant protection device in a motor vehicle. There, the main computing unit calculates the ignition timing for the deployment of the appropriate occupant protection means that provides the vehicle occupant with the best possible protection against injury in the event of an impact accident. Following calculation of the best ignition timing, the main computing unit releases the deployment of the appropriate occupant protection means, such as a driver's airbag.

Schon bei einem nur teilweisen Ausfall der Rechenleistung der Hauptrecheneinheit kann eine rechtzeitige Auslösung des geeigneten Insassenschutzmittels durch die Steuereinheit nicht mehr gewährleistet werden. Aus diesem Grund muss die entscheidende Funktionalität der ersten Recheneinheit durch die, zweite Recheneinheit, die Sicherheitsrecheneinheit, übernommen werden. Dazu muss die Sicherheitsrecheneinheit zunächst eine mögliche Fehlfunktion der ersten Recheneinheit erkennen, um in einem zweiten Schritt die erste Recheneinheit zurückzusetzen oder sogar vollständig abzuschalten und gegebenenfalls die Aufgaben der ersten Recheneinheit zumindest teilweise zu übernehmen.Already with a partial failure of the computing power of the main processing unit, a timely release of the appropriate occupant protection means by the control unit can no longer be guaranteed. For this reason, the crucial functionality of the first arithmetic unit must be taken over by the second arithmetic unit, the security arithmetic unit. The security unit first has to do this recognize a possible malfunction of the first processing unit to reset in a second step, the first processing unit or even completely shut down and optionally take over the tasks of the first processing unit at least partially.

Ein solches Zwei-Rechner-System in einer sicherheitsrelevanten Anwendung in einem Kraftfahrzeug ist beispielsweise in der deutschen Offenlegungsschrift DE 37 00 986 A1 beschrieben. Die dort gezeigten Prozessoren überwachen sich gleichberechtigt. Dabei gibt jeweils eine Recheneinheit ein watchdog - Signal 33, 37 aus, das in der jeweils anderen Recheneinheit durch eine watchdog - Erkennung 14, 22 überprüft wird. Empfängt die jeweils eine Recheneinheit von der jeweils anderen Recheneinheit ein fehlerhaftes watchdog - Signal 33, 35 so gibt die jeweils ordnungsgemäß arbeitende Recheneinheit ein Reset-Signal 40, 36 an die fehlerhafte andere Recheneinheit aus.Such a two-computer system in a safety-relevant application in a motor vehicle is described, for example, in German Offenlegungsschrift DE 37 00 986 A1. The processors shown there supervise on an equal footing. In each case, one arithmetic unit emits a watchdog signal 33, 37, which is checked in the other arithmetic unit by a watchdog recognition 14, 22. If the respective one arithmetic unit receives a faulty watchdog signal 33, 35 from the respective other arithmetic unit, then the arithmetically operating arithmetic unit outputs a reset signal 40, 36 to the faulty other arithmetic unit.

Ähnliche Ansteuerungssysteme mit je zwei Recheneinheiten in sicherheitskritischer Anwendung in Kraftfahrzeugen sind auch aus den Druckschriften DE 101 51 012 A1 und DE 40 04 709 C2 bekannt, wobei auch hier die gegenseitige Überwachung der zwei Recheneinheiten mithilfe je einer watchdog-Erkennung in jeder Recheneinheit erfolgt.Similar control systems, each with two arithmetic units in safety-critical application in motor vehicles are also known from the publications DE 101 51 012 A1 and DE 40 04 709 C2, where also the mutual monitoring of the two arithmetic units by means of a respective watchdog recognition in each arithmetic unit.

Die gegenseitige Überwachung der korrekten Funktionsweise von Recheneinheiten durch eine solche watchdog - Schaltung ist jedoch oftmals nur sehr langsam. Gerade bei Insassenschutzsystemen ist es jedoch sehr wichtig, eine Fehlfunktion einer Recheneinheit innerhalb einer Steuereinheit eines Insassenschutzsystems sehr schnell und zuverlässig zu erkennen, um unverzüglich Maßnahmen zur Begrenzung möglicher Gefahren für einen Fahrzeuginsassen einleiten zu können.However, the mutual monitoring of the correct functioning of computing units by such a watchdog circuit is often only very slow. Especially in occupant protection systems, however, it is very important to detect a malfunction of a computing unit within a control unit of an occupant protection system very quickly and reliably to be able to immediately initiate measures to limit possible dangers for a vehicle occupants.

Die Aufgabe der vorliegenden Erfindung ist es deshalb, die notwendigen technischen Voraussetzungen zu schaffen, um eine sehr schnelle Erkennung der Fehlfunktion mindestens einer Recheneinheit innerhalb einer Steuereinheit eines Insassenschutzmittels für ein Kraftfahrzeug zu schaffen.The object of the present invention is therefore to provide the necessary technical conditions to a to provide very rapid detection of the malfunction of at least one computing unit within a control unit of an occupant protection device for a motor vehicle.

Die Aufgabe wird gelöst durch eine Steuereinheit gemäß Anspruch 1.The object is achieved by a control unit according to claim 1.

Die erfindungsgemäße Steuereinheit weist neben der Hauptrecheneinheit, der ersten Recheneinheit, auch eine Sicherheitsrecheneinheit, die zweite Recheneinheit, auf sowie eine Auslöseeinheit zur Auslösung des Insassenchutzmittels, beispielsweise eines Airbags. Die erste Recheneinheit, die zweite Recheneinheit und die Auslöseeinheit werden durch einen internen oder externen Taktgeber jeweils asynchron zueinander getaktet.The control unit according to the invention has, in addition to the main computing unit, the first computing unit, also a security computing unit, the second computing unit, and a trip unit for triggering the occupant protection means, for example an airbag. The first arithmetic unit, the second arithmetic unit and the trip unit are clocked by an internal or external clock each asynchronous to each other.

Die erste Recheneinheit umfasst eine erste Pulszahlvergleichereinheit und einen ersten Rücksetzer, die zweite Recheneinheit eine zweite Pulszahlvergleichereinheit und einen zweiten Rücksetzer. Jeweils zugeordnet zur ersten bzw. zweiten Recheneinheit weist die Steuereinheit des Weiteren ein erstes und ein zweites logisches UND - Gatter auf.The first arithmetic unit comprises a first pulse number comparator unit and a first resetter, the second arithmetic unit a second pulse number comparator unit and a second resetter. In each case assigned to the first or second arithmetic unit, the control unit further has a first and a second logical AND gate.

Dem Eingang des ersten logischen UND - Gatters ist sowohl das Taktsignal der ersten Recheneinheit als auch das Taktsignal der Auslöseeinheit zugeführt, sein Ausgang hingegen ist mit dem Eingang der zweiten Pulszahlvergleichereinheit verbunden. Der Ausgang der zweiten Pulszahlvergleichereinheit ist mit einem Eingang des zweiten Rücksetzers verbunden, dessen Ausgang wiederum dem Reset-Eingang der ersten Recheneinheit zugeführt ist.Both the clock signal of the first processing unit and the clock signal of the trip unit are supplied to the input of the first logic AND gate, while its output is connected to the input of the second pulse number comparator unit. The output of the second pulse number comparator unit is connected to an input of the second reset, the output of which in turn is fed to the reset input of the first arithmetic unit.

Die Beschaltung des ersten logischen UND - Gatters der Steuereinheit ist derart, dass der zweite Rücksetzer die erste Recheneinheit durch Ausgabe eines Reset-Signals zurücksetzt, wenn die zweite Pulszahlvergleichereinheit eine unzulässige Anzahl von Pulsen pro Zeiteinheit im Ausgangssignal des ersten UND - Gatters erkennt.The wiring of the first logical AND gate of the control unit is such that the second resetter resets the first arithmetic unit by outputting a reset signal if the second pulse number comparator unit is an illegal one Number of pulses per unit time in the output signal of the first AND gate detects.

Die Beschaltung des zweiten logischen UND - Gatters ergibt sich analog aus der Beschaltung des ersten logischen UND - Gatters, wenn man die erste Recheneinheit durch die zweite Recheneinheit ersetzt und ebenso die erste gegen die zweite Pulszahlvergleichereinheit, den ersten Rücksetzer gegen den zweiten Rücksetzer und den Reset-Eingang der ersten Recheneinheit gegen den Reset-Eingang der zweiten Recheneinheit.The wiring of the second logical AND gate results analogously from the wiring of the first logical AND gate, if one replaces the first arithmetic unit by the second arithmetic unit and also the first against the second pulse number comparator unit, the first resetter against the second resetter and the reset Input of the first arithmetic unit against the reset input of the second arithmetic unit.

Folglich ist die Beschaltung des zweiten UND - Gatters derart, dass der erste Rücksetzer die zweite Recheneinheit durch die Ausgabe eines Reset-Signals zurücksetzt, wenn die erste Pulszahlvergleichereinheit eine unzulässige Anzahl von Pulsen pro Zeiteinheit im Ausgangssignal des zweiten UND - Gatters erkennt.Consequently, the connection of the second AND gate is such that the first resetter resets the second arithmetic unit by the output of a reset signal when the first pulse number comparator unit detects an impermissible number of pulses per unit time in the output signal of the second AND gate.

Als Pulszahlvergleichereinheit einer Recheneinheit der erfindungsgemäßen Steuereinheit wird im Zusammenhang vorliegend beschriebener Erfindung eine Funktionseinheit bezeichnet, die beispielsweise eine Anzahl von High - Pegeln pro Zeiteinheit einer Pulsfolge zählt und mit einem vorher festgelegten Vergleichswert vergleicht. In Abhängigkeit von diesem Vergleich kann die Pulszahlvergleichereinheit unterschiedliche Steuersignale ausgeben.In the context of the presently described invention, a function unit is referred to as the pulse number comparator unit of a processor unit of the control unit according to the invention, which counts, for example, a number of high levels per unit time of a pulse sequence and compares it with a previously determined comparison value. Depending on this comparison, the pulse number comparator unit can output different control signals.

Selbstverständlich könnte eine Pulszahlvergleichereinheit alternativ auch eine Anzahl von Low - Pegeln oder eine Anzahl von Pegelwechseln pro Zeiteinheit einer Pulsfolge zählen.Of course, a pulse number comparator unit could alternatively also count a number of low levels or a number of level changes per unit time of a pulse train.

In einer vorteilhaften Weiterbildung weist die Steuereinheit ein erstes und ein zweites logisches ODER - Gatter auf, wobei das zweite ODER - Gatter eingangsseitig mit dem Ausgang des zweiten Rücksetzers und ausgangsseitig mit dem Reset-Eingang der ersten Recheneinheit verbunden ist und entsprechend das erste ODER - Gatter eingangsseitig mit dem ersten Rücksetzer und ausgangsseitig mit dem Reset-Eingang der zweiten Recheneinheit verbunden ist. Dies bietet den Vorteil, dass einem jeweils weiteren Eingang der logischen ODER - Gatter weitere Reset-Signale anderer Schaltungsteile der Steuereinheit zugeführt werden können, so dass eine Recheneinheit nicht allein durch die Entscheidung der jeweils anderen Recheneinheit zurückgesetzt werden kann, sondern auch durch eine weitere Entscheidung einer weiteren Funktionseinheit der Steuereinheit.In an advantageous development, the control unit has a first and a second logical OR gate, wherein the second OR gate is connected on the input side to the output of the second resetter and on the output side to the reset input of the first arithmetic unit and correspondingly the first OR gate on the input side with the first reset and the output side is connected to the reset input of the second arithmetic unit. This offers the advantage that further reset signals of other circuit parts of the control unit can be supplied to a respective further input of the logical OR gate, so that one arithmetic unit can not be reset by the decision of the other arithmetic unit alone, but also by a further decision another functional unit of the control unit.

In einer weiteren vorteilhaften Ausführungsform ist der erste Rücksetzer der ersten Recheneinheit oder der zweite Rücksetzer der zweiten Recheneinheit mit einem Reset-Eingang der Auslöseeinheit verbunden. So kann der erste Rücksetzer bzw. der zweite Rücksetzer bei einer festgestellten Fehlfunktion der zweiten bzw. ersten Recheneinheit nicht nur die jeweils andere Recheneinheit zurücksetzen, sondern auch die Auslöseeinheit. Dies bietet eine zusätzliche Sicherheit hinsichtlich einer korrekten Funktionsweise des Insassenschutzsystems, da bei einer Fehlfunktion zumindest einer der beiden Recheneinheiten auch sicher die Auslöseeinheit abgeschaltet wird. Dadurch wird eine möglicherweise gefährliche Auslösung des Insassenschutzmittels sicher verhindert.In a further advantageous embodiment, the first resetter of the first arithmetic unit or the second resetter of the second arithmetic unit is connected to a reset input of the trip unit. Thus, the first resetter or the second resetter can reset not only the respective other arithmetic unit in a detected malfunction of the second or first arithmetic unit, but also the trip unit. This provides additional security with regard to a correct functioning of the occupant protection system, since in the case of a malfunction of at least one of the two computing units, the trip unit is also safely switched off. As a result, a potentially dangerous release of the occupant protection means is reliably prevented.

Ein besonders hohes Maß an Sicherheit besitzt die Steuereinheit folglich vor allem auch dann, wenn beide Rücksetzer der Recheneinheit mit einem Reset-Eingang der Auslöseeinheit verbunden sind, so dass beide Recheneinheiten ggf. die Auslöseeinheit zurücksetzen können. Weiterhin von Vorteil ist es dabei, wenn die Steuereinheit ein drittes logisches ODER - Gatter aufweist, das eingangsseitig die Signale der Rücksetzer beider Recheneinheiten empfängt und ausgangsseitig mit dem Reset-Eingang der Auslöseeinheit verbunden ist.Consequently, the control unit has a particularly high degree of safety especially when both resetting devices of the arithmetic unit are connected to a reset input of the tripping unit, so that both arithmetic units can possibly reset the tripping unit. It is also advantageous if the control unit has a third logical OR gate which receives the signals of the resetting of both arithmetic units on the input side and is connected on the output side to the reset input of the tripping unit.

In einer weiteren vorteilhaften Ausführungsform der Erfindung weist die Steuereinheit ein drittes UND - Gatter auf, dem eingangsseitig die Taktsignale der ersten und der zweiten Recheneinheit zugeführt sind und dessen Signalausgang sowohl der ersten als auch der zweiten Pulszahlvergleichereinheit der ersten bzw. zweiten Recheneinheit zugeführt sind. Stellt die erste bzw. die zweite Pulszahlvergleichereinheit ein fehlerhaftes Ausgangssignal des dritten UND - Gatters fest, so meldet sie die Störung an den ihr jeweils zugeordneten Rücksetzer, der die jeweils andere Recheneinheit und ggf. auch die Auslöseeinheit zurücksetzt.In a further advantageous embodiment of the invention, the control unit to a third AND gate on the input side, the clock signals of the first and second arithmetic unit are supplied and its signal output both the first and the second pulse number comparator unit of the first and second arithmetic unit are supplied. If the first or the second pulse number comparator unit detects a faulty output signal of the third AND gate, it notifies the fault to the respectively assigned resetter, which resets the respective other arithmetic unit and possibly also the tripping unit.

Weiterhin ist es von Vorteil, wenn die Steuereinheit eine sogenannte erste watchdog - Schaltung aufweist. Dafür ist ein erster watchdog - Eingang der Auslöseeinheit mit einem watchdog - Ausgang der ersten Recheneinheit verbunden und ein Recheneinheitsrücksetzungsausgang der Auslöseeinheit direkt oder mittelbar mit der ersten Recheneinheit. Stellt die Auslöseeinheit einen Fehler im watchdog - Signal des watchdog - Ausgangs der ersten Recheneinheit fest, so gibt die Auslöseeinheit ein Recheneinheitsrücksetzungssignal direkt oder mittelbar an die erste Recheneinheit aus. Eine solche redundante Sicherheitsschaltung in Form einer ersten watchdog - Schaltung erhöht zusätzlich die sichere Abschaltung einer fehlerhaft arbeitenden ersten Recheneinheit innerhalb der Steuereinheit des Insassenschutzsystems.Furthermore, it is advantageous if the control unit has a so-called first watchdog circuit. For this purpose, a first watchdog input of the tripping unit is connected to a watchdog output of the first arithmetic unit and an arithmetic unit resetting output of the tripping unit is connected directly or indirectly to the first arithmetic unit. If the tripping unit detects an error in the watchdog signal of the watchdog output of the first arithmetic unit, the tripping unit outputs a processor reset signal directly or indirectly to the first arithmetic unit. Such a redundant safety circuit in the form of a first watchdog circuit additionally increases the safe shutdown of a malfunctioning first arithmetic unit within the control unit of the occupant protection system.

Eine analoge zweite watchdog - Schaltung für die Rücksetzung einer fehlerhaften zweiten Recheneinheit durch die Auslöseeinheit bringt zusätzliche Sicherheit, vor allem dann, wenn die zweite Recheneinheit gleichberechtigt zum Funktionieren des Sicherheitssystems beiträgt.An analog second watchdog circuit for resetting a faulty second arithmetic unit by the trip unit provides additional security, especially if the second arithmetic unit contributes equally to the functioning of the security system.

Ein zur Lösung der Aufgabe geeignetes Verfahren ist im unabhängigen Patentanspruch 7 angegeben.A suitable for solving the problem process is given in the independent claim 7.

Das erfindungsgemäße Verfahren dient zur Überwachung der ordnungsgemäßen Funktion einer erfindungsgemäßen Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug. Der Ablauf eines solchen erfindungsgemäßen Verfahrens ist anhand der weiter oben in ihrem funktionellen Zusammenhang erläuterten Merkmale einer erfindungsgemäßen Vorrichtung bereits ausreichend beschrieben. Um an dieser Stelle Wiederholungen zu vermeiden, soll hier nur auf die erfindungsgemäßen Verfahrensmerkmale eingegangen werden, die über den Rahmen des bereits Geschilderten hinausgehen.The inventive method is used to monitor the proper operation of a control unit according to the invention for triggering an occupant protection means in a motor vehicle. The course of such a method according to the invention is based on the above in their functional context explained features of a device according to the invention already sufficiently described. In order to avoid repetitions at this point, only the method features according to the invention that go beyond the scope of the already described should be discussed here.

Zum Beispiel ist es unerheblich für ein erfindungsgemäßes Verfahren, auf welche Art die Taktsignale der beiden Recheneinheiten und der Auslöseeinheit zu verschiedentlich miteinander logisch verknüpften Signalen kombiniert werden. Bei der oben beschriebenen erfindungsgemäßen Vorrichtung wird eine solche logische Verknüpfungsfunktion über logische Und - Gatter erreicht, die - wie auch die ebenfalls offenbarten Oder - Gatter - sowohl als elektrische Bauelemente ausgestaltet sein können, aber auch als Programmabläufe innerhalb eines Mikroprozessors. Entscheidend für ein erfindungsgemäßes Verfahren ist es vielmehr, dass eine logische Verknüpfung der genannten Taktsignale so erfolgt, dass eine Pulsfolge erzeugt wird, die nachfolgend durch Zählen der Einzelpulse und Vergleichen des ermittelten Werts mit einem Sollwert insofern bewertet werden kann, ob eine der getakteten Funktionseinheiten der sie enthaltenden Steuereinheit funktionsgerecht arbeitet oder nicht.For example, it is irrelevant to a method according to the invention in which way the clock signals of the two arithmetic units and of the tripping unit are combined in various logically linked signals. In the device according to the invention described above, such a logical operation function is achieved via logical AND gates which, like the OR gates also disclosed, can be designed both as electrical components and as program sequences within a microprocessor. Rather, it is decisive for a method according to the invention that a logical combination of said clock signals is produced so that a pulse sequence is generated which can subsequently be evaluated by counting the individual pulses and comparing the determined value with a desired value, if one of the clocked functional units of FIG containing control unit works properly or not.

Vorteilhafterweise werden die als fehlerhaft identifizierten Funktionseinheiten dabei zumindest einmal zurückgesetzt, damit einer fehlerhaft arbeitenden Funktionseinheit der Steuereinheit durch einen Neustart Gelegenheit gegeben wird, einen vorgesehenen Betriebszustand zu erreichen. Kann ein solcher ordnungsgemäßer Betriebszustand nach einem einmaligen oder mehrmaligen Zurücksetzen der Funktionseinheit nicht herbeigeführt werden, so wird zumindest der fehlerhafte Teil des Steuergeräts deaktiviert und, falls möglich, durch eine andere Funktionseinheit des Steuergeräts ersetzt. Ggf. wird die gesamte Steuereinheit deaktiviert.Advantageously, the functional units identified as faulty are thereby reset at least once so that a malfunctioning functional unit of the control unit is given an opportunity by a restart to reach a planned operating state. If such a correct operating state can not be brought about after a single or multiple reset of the functional unit, at least the defective part of the control unit is deactivated and, if possible, replaced by another functional unit of the control unit. Possibly. the entire control unit is deactivated.

Die teilweise oder vollständige Deaktivierung des Steuergeräts des Insassenschutzsystems wird dann einem Fahrzeuginsassen entsprechend angezeigt, beispielsweise durch das Aufleuchten einer Warnlampe, üblicherweise in der Fahrzeugarmatur.The partial or complete deactivation of the control unit of the occupant protection system is then a vehicle occupant displayed accordingly, for example by the lighting of a warning lamp, usually in the vehicle fitting.

Im Folgenden wird die Erfindung anhand von mehreren Ausführungsbeispielen beschrieben.In the following, the invention will be described with reference to several embodiments.

Es zeigen:

Figur 1
eine erfindungsgemäße Steuereinheit mit zwei UND - Gattern (AND1, AND2),
Figur 2
eine erfindungsgemäße Steuereinheit mit drei UND - Gattern (AND1, AND2, AND3),
Figur 3
ein schematisches Laufzeitdiagramm der Taktsignale (clk1, clk2, clk3) der ersten und der zweiten Recheneinheit (R1, R2) sowie der Auslöseeinheit (AE) und den daraus zusammengesetzten Taktsignalen (clk13, clk23, clk12) am Ausgang des ersten, zweiten und dritten UND - Gatters (AND1, AND2, AND3),
Figur 4
ein schematisches Laufzeitdiagramm der Taktsignale (clk1, clk2) der ersten und der zweiten Recheneinheit (R1, R2) und des zugehörigen Ausgangssignals (clk12) des dritten UND - Gatters (AND3) bei synchroner Taktung der beiden Recheneinheiten (R1, R2) und
Figur 5
eine schematische Entscheidungsmatrix zur Zurücksetzung der Recheneinheiten (R1, R2) oder der Auslöseeinheit (AE) einer erfindungsgemäßen Steuereinheit.
Show it:
FIG. 1
a control unit according to the invention with two AND gates (AND1, AND2),
FIG. 2
a control unit according to the invention with three AND gates (AND1, AND2, AND3),
FIG. 3
a schematic time chart of the clock signals (clk1, clk2, clk3) of the first and second arithmetic unit (R1, R2) and the trip unit (AE) and the composite therefrom clock signals (clk13, clk23, clk12) at the output of the first, second and third AND Gates (AND1, AND2, AND3),
FIG. 4
a schematic time-of-flight diagram of the clock signals (clk1, clk2) of the first and the second arithmetic unit (R1, R2) and of the associated output signal (clk12) of the third AND gate (AND3) with synchronous clocking of the two arithmetic units (R1, R2) and
FIG. 5
a schematic decision matrix for resetting the arithmetic units (R1, R2) or the trip unit (AE) of a control unit according to the invention.

Figur 1 zeigt eine erfindungsgemäße Steuereinheit mit einer ersten und zweiten Recheneinheit R1, R2 und einer Auslöseeinheit AE sowie einem ersten und einem zweiten UND - Gatter AND1, AND2 und einem ersten, zweiten und dritten ODER - Gatter OR1, OR2, OR3.FIG. 1 shows a control unit according to the invention with a first and second arithmetic unit R1, R2 and a tripping unit AE and a first and a second AND gate AND1, AND2 and a first, second and third OR gate OR1, OR2, OR3.

Dem ersten Signaleingang des ersten UND - Gatters AND1 ist das Taktsignal clk1 der ersten Recheneinheit R1 zugeführt. Dem zweiten Signaleingang des ersten UND - Gatters AND1 ist das Taktsignal clk3der Auslöseeinheit AE zugeführt. Am Signalausgang des ersten UND - Gatters AND1 liegt ein logisches Summensignal clk13 der beiden eingangsseitig zugeführten Taktsignale clk1 und clk3 vor, das einer Pulszahlvergleichereinheit PZVE2 der zweiten Recheneinheit R2 zugeführt wird. Der Signalausgang der zweiten Pulszahlvergleichereinheit PZVE2 ist mit einem zweiten Rücksetzer RES2 innerhalb der zweiten Recheneinheit R2 verbunden. Der zweite Rücksetzer RES2 ist ausgangsseitig mit einem Signaleingang des zweiten ODER - Gatters OR2 verbunden. Der Signalausgang des zweiten ODER - Gatters OR2 wiederum ist mit dem ersten Reset-Eingang RESET1 der ersten Rechnereinheit R1 verbunden.The first signal input of the first AND gate AND1 is supplied with the clock signal clk1 of the first arithmetic unit R1. The second signal input of the first AND gate AND1, the clock signal CLK3der the trigger unit AE is supplied. At the signal output of the first AND gate AND1, there is a logical sum signal clk13 of the two clock signals clk1 and clk3 supplied on the input side, which is fed to a second pulse counter comparator unit PZVE2 of the second arithmetic unit R2. The signal output of the second pulse number comparator unit PZVE2 is connected to a second resetter RES2 within the second arithmetic unit R2. The second resetter RES2 is connected on the output side to a signal input of the second OR gate OR2. The signal output of the second OR gate OR2 in turn is connected to the first reset input RESET1 of the first computer unit R1.

Analog zur Beschaltung des ersten UND - Gatters AND1 ist auch das zweite UND - Gatter beschaltet. Dem ersten Signaleingang des zweiten UND - Gatters AND2 ist das Taktsignal clk2 der zweiten Recheneinheit R2 zugeführt, seinem zweiten Signaleingang ebenfalls das Taktsignal clk3 der Auslöseeinheit AE. Das Ausgangssignal clk23 des zweiten logischen UND - Gatters AND2 ist ein logisches Summensignal der beiden eingangsseitig zugeführten Taktsignale clk2 und clk3 und ist der ersten Pulszahlvergleichereinheit PZVE1 der ersten Recheneinheit R1 zugeführt. Die erste Pulszahlvergleichereinheit PZVE1 führt ein Ausgangssignal zum ersten Rücksetzer RES1, der ausgangsseitig mit dem Signaleingang des ersten ODER - Gatters OR1 verbunden ist. Der Signalausgang des ersten ODER - Gatters OR1 ist dem Reset-Eingang RESET2 der zweiten Recheneinheit R2 zugeführt.Analogously to the connection of the first AND gate AND1, the second AND gate is also connected. The first signal input of the second AND gate AND2 is supplied with the clock signal clk2 of the second arithmetic unit R2, and its second signal input is likewise supplied with the clock signal clk3 of the tripping unit AE. The output signal clk23 of the second logical AND gate AND2 is a logical sum signal of the two input-side supplied clock signals clk2 and clk3 and is supplied to the first pulse number comparator unit PZVE1 of the first arithmetic unit R1. The first pulse number comparator unit PZVE1 supplies an output signal to the first resetter RES1, which is connected on the output side to the signal input of the first OR gate OR1. The signal output of the first OR gate OR1 is fed to the reset input RESET2 of the second arithmetic unit R2.

Ein jeweils zweiter Signalausgang des ersten Rücksetzers RES1 bzw. des zweiten Rücksetzers RES2 ist mit jeweils einem Signaleingang eines dritten ODER - Gatters OR3 verbunden. Der Signalausgang des dritten ODER - Gatters OR3 ist mit einem Reset-Eingang RESETAE der Auslöseeinheit AE verbunden.A respectively second signal output of the first resetter RES1 and of the second resetter RES2 is connected to a respective signal input of a third OR gate OR3. The signal output of the third OR gate OR3 is connected to a reset input RESETAE of the trip unit AE.

Des Weiteren ist von einem watchdog - Ausgang WD1 der ersten Recheneinheit R1 ein erstes watchdog - Signal wd1 einem ersten watchdog - Eingang AE1 der Auslöseeinheit AE zugeführt. Analog ist auch ein zweites watchdog - Signal wd2 von einem zweiten watchdog - Ausgang WD2 der zweiten Recheneinheit R2 einem zweiten watchdog - Eingang AE2 der Auslöseeinheit AE zugeführt.Furthermore, a first watchdog signal wd1 is fed to a first watchdog input AE1 of the triggering unit AE from a watchdog output WD1 of the first computing unit R1. Analogously, a second watchdog signal wd2 from a second watchdog output WD2 of the second arithmetic unit R2 is also fed to a second watchdog input AE2 of the tripping unit AE.

Schließlich ist noch ein Recheneinheitsrücksetzungsausgang SAE der Auslöseeinheit AE mit den jeweils zweiten Signaleingängen des ersten ODER - Gatters OR1 und des zweiten ODER - Gatters OR 2 verbunden.Finally, an arithmetic unit reset output SAE of the tripping unit AE is connected to the respective second signal inputs of the first OR gate OR1 and of the second OR gate OR2.

Die in der Figur 1 dargestellte Schaltung funktioniert wie folgt:The circuit shown in Figure 1 operates as follows:

Das erste UND - Gatter AND1 erzeugt ausgangsseitig ein modifiziertes Taktsignal clk13 aus den beiden eingangsseitig zugeführten Taktsignalen der ersten Recheneinheit clk1 und des Taktsignals der Auslöseeinheit clk3. Wie in Figur 3 dargestellt weist das Ausgangssignal clk13 des ersten UND - Gatters AND1 nur dann einen logischen High - Pegel auf, wenn die eingangsseitig zugeführten Taktsignale clk1 und clk3 gleichzeitig ebenfalls einen logischen High - Pegel aufweisen. Da im dargestellten Ausführungsbeispiel der Figur 3 das Taktsignal clk1 der ersten Recheneinheit R1 mit einer Taktfrequenz von beispielsweise 1 kHz eine wesentlich größere Taktperiode als das Taktsignal clk3 der Auslöseeinheit AE mit einer Taktfrequenz von beispielsweise 50 kHz besitzt, weist das modifizierte Taktsignal clk13 eine wiederkehrende Pulsfolge mit einer Periode des ersten Taktsignals clk1 auf, mit Einzelpulsen innerhalb der Pulsfolgen mit einer Periodizität des Taktsignals clk3 der Auslöseeinheit AE.The first AND gate AND1 generates on the output side a modified clock signal clk13 from the two input-side supplied clock signals of the first arithmetic unit clk1 and the clock signal of the tripping unit clk3. As shown in FIG. 3, the output signal clk13 of the first AND gate AND1 only has a logic high level if the clock signals clk1 and clk3 supplied on the input side likewise have a logic high level at the same time. Since, in the illustrated embodiment of FIG. 3, the clock signal clk1 of the first arithmetic unit R1 has a clock frequency of, for example, 1 kHz a much larger clock period than the clock signal clk3 of the tripping unit AE with a clock frequency of, for example, 50 kHz, the modified clock signal clk13 has a recurrent pulse sequence a period of the first clock signal clk1, with individual pulses within the pulse trains with a periodicity of the clock signal clk3 the trip unit AE.

Je nach Verschiebung der Taktperioden der beiden Taktsignale clk1 und clk3 zueinander weist das Ausgangssignal clk13 des ersten UND - Gatters AND1 eine feste Anzahl von Einzelpulsen pro Periodendauer auf. Im Beispiel der Figur 3 weist das Taktsignal clk13 beispielsweise zwischen 49 und 50 High - Pegel - Pulse pro Pulsfolgen - Periodendauer auf.Depending on the shift of the clock periods of the two clock signals clk1 and clk3 to one another, the output signal clk13 of the first AND gate AND1 has a fixed number of individual pulses per period duration. In the example of FIG. 3, the clock signal clk13 has, for example, between 49 and 50 high-level pulses per pulse sequence period.

Bei synchroner Taktung der beiden Taktsignale clk1 und clk3 wäre die Anzahl der Einzelpulse innerhalb einer Pulsfolge pro Zeiteinheit immer gleich. Ein entsprechender Fall ist beispielsweise in der Figur 4 für die beiden Taktsignale clk1 und clk2 mit Taktfrequenzen von beispielsweise 1 kHz bzw. 2 kHz dargestellt.With synchronous clocking of the two clock signals clk1 and clk3, the number of individual pulses within a pulse sequence per unit time would always be the same. A corresponding case is shown for example in FIG. 4 for the two clock signals clk1 and clk2 with clock frequencies of, for example, 1 kHz and 2 kHz, respectively.

Die zweite Pulszahlvergleichereinheit PZVE2 der zweiten Recheneinheit R2 zählt die Anzahl von Einzelpulsen im Ausgangssignal clk13 des ersten UND - Gatters AND1 und vergleicht diesen Wert mit einem Vergleichswert, der in der zweiten Recheneinheit R2 hinterlegt ist, beispielsweise in einem RAM - Speicher. Weicht die ermittelte Anzahl von Pulsen im Ausgangssignal clk13 des ersten UND - Gatters AND1 von diesem gespeicherten Wert in unzulässiger Weise ab, so aktiviert die zweite Pulszahlvergleichereinheit PZVE2 den zweiten Rücksetzer RES2, der ein zweites Reset-Signal sr2 über das zweite ODER - Gatter OR2 an den Reset-Eingang RESET1 der ersten Recheneinheit R1 ausgibt. Dadurch wird die erste Recheneinheit R1 elektrisch zurückgesetzt.The second pulse number comparator unit PZVE2 of the second arithmetic unit R2 counts the number of individual pulses in the output signal clk13 of the first AND gate AND1 and compares this value with a comparison value stored in the second arithmetic unit R2, for example in a RAM memory. If the determined number of pulses in the output signal clk13 of the first AND gate AND1 deviates in an inadmissible manner from this stored value, then the second pulse number comparator unit PZVE2 activates the second resetter RES2, which activates a second reset signal sr2 via the second OR gate OR2 the reset input RESET1 the first processing unit R1 outputs. As a result, the first arithmetic unit R1 is electrically reset.

In dem gezeigten Ausführungsbeispiel der Figur 1 kann wahlweise gleichzeitig der zweite Rücksetzer RES2 ein weiteres Rücksetzungssignal sae2 über das dritte ODER - Gatter OR3 an die Auslöseeinheit AE weitergeben, wodurch auch die Auslöseeinheit AE in ihren elektrischen Ausgangszustand zurückgesetzt wird.In the exemplary embodiment shown in FIG. 1, the second resetter RES2 can optionally simultaneously pass on a further reset signal sae2 via the third OR gate OR3 to the tripping unit AE, as a result of which the tripping unit AE is also reset to its electrical initial state.

Im zurückgesetzten Zustand kann ein an die Auslöseeinheit AE angeschlossene Insassenschutzmittel weder gesteuert durch die erste Recheneinheit R1 noch aktiviert durch die Auslöseeinheit AE ausgelöst werden.In the reset state, an occupant protection device connected to the trigger unit AE can neither be triggered by the first arithmetic unit R1 nor activated by the trigger unit AE.

Nach dem Zurücksetzen der ersten Recheneinheit R1 und der Auslöseeinheit AE durchlaufen beide einen Funktionshochlauf, während dessen die volle Funktionalität der beiden Funktionseinheiten R1 und AE innerhalb des Steuergeräts des Insassenschutzmittels wieder vollständig hergestellt wird. Erst nach erfolgtem und erfolgreichem Funktionshochlauf beider Funktionseinheiten R1 und AE kann das an die Auslöseeinheit AE angeschlossene Insassenschutzmittel ggf. wieder ausgelöst werden.After resetting the first arithmetic unit R1 and the trip unit AE, both undergo a function start-up, during which the full functionality of the two functional units R1 and AE within the control unit of the occupant protection means is completely restored. Only after successful and successful function start-up of both functional units R1 and AE, the occupant protection means connected to the triggering unit AE can possibly be triggered again.

Stellt allerdings die zweite Pulszahlvergleichereinheit PZVE2 der zweiten Recheneinheit R2 wiederum eine Fehlfunktion entweder der ersten Recheneinheit R1 oder der Auslöseeinheit AE anhand des Ausgangssignals clk13 des ersten UND - Gatters AND1 fest, so werden die beiden Funktionseinheiten R1 und AE abermals zurückgesetzt oder auf Dauer deaktiviert.However, if the second pulse-number comparator unit PZVE2 of the second arithmetic unit R2 again detects a malfunction of either the first arithmetic unit R1 or the tripping unit AE on the basis of the output signal clk13 of the first AND gate AND1, then the two functional units R1 and AE are again reset or permanently deactivated.

Eine dauerhafte Deaktivierung der ersten Recheneinheit R1 oder der Auslöseeinheit AE des Insassenschutzmittels wird dabei üblicherweise dem Fahrzeughalter durch eine sogenannte Airbagwarnlampe in der Fahrzeugarmatur angezeigt.A permanent deactivation of the first computing unit R1 or the trigger unit AE of the occupant protection means is usually displayed to the vehicle owner by a so-called airbag warning lamp in the vehicle fitting.

Die Funktionsweise der Beschaltung des zweiten UND - Gatters AND2 ergibt sich völlig analog aus der Funktion der Beschaltung des ersten UND - Gatters AND1:The operation of the circuit of the second AND gate AND2 results completely analogously from the function of the wiring of the first AND gate AND1:

Das zweite UND - Gatter AND2 erzeugt ausgangsseitig ein modifiziertes Taktsignal clk23 aus den beiden eingangsseitig zugeführten Taktsignalen clk2 der zweiten Recheneinheit R2 und des Taktsignals clk3 der Auslöseeinheit AE. Wie im Falle des ersten UND - Gatters AND1 weist das Ausgangssignal clk23 des zweiten UND - Gatters AND2 nur dann einen logischen High-Pegel auf, wenn die eingangsseitig zugeführten Taktsignale clk2 und clk3 auch gleichzeitig einen logischen High-Pegel aufweisen. Üblicherweise ist auch hier die Periode des zweiten Taktsignals clk2 kleiner als die Periode des Taktsignals clk3 der Auslöseeinheit AE. Deshalb treten auch im Ausgangssignal des zweiten UND - Gatters clk23 Pulsfolgen auf, die mit der langsameren Periode des Taktsignals der zweiten Recheneinheit clk2 moduliert sind und je nach Periodenverschiebung der beiden zusammengefügten Taktsignale clk2 und clk3 eine in einem engen Toleranzrahmen feste Anzahl von Einzelpulsen pro Zeiteinheit aufweisen.The second AND gate AND2 generates on the output side a modified clock signal clk23 from the two input-side supplied clock signals clk2 of the second arithmetic unit R2 and the clock signal clk3 of the tripping unit AE. As in the case of the first AND gate AND1, the output signal clk23 of the second AND gate AND2 has a logic high level only if the clock signals clk2 and clk3 supplied on the input side also have a logic high level at the same time. Normally, the period of the second clock signal clk2 is smaller than the period of the clock signal clk3 of the trip unit AE. Therefore, also occur in the output signal of the second AND gate clk23 pulse trains which are modulated with the slower period of the clock signal of the second arithmetic unit clk2 and depending on the period shift of the two assembled clock signals clk2 and clk3 have a fixed within a narrow tolerance frame number of individual pulses per unit time.

Die erste Pulszahlvergleichereinheit PZVE1 der ersten Recheneinheit R1 zählt die Anzahl von Einzelpulsen im Ausgangssignal clk23 des zweiten UND - Gatters AND2 und vergleicht den ermittelten Wert mit einem weiteren Vergleichswert, der in der ersten Recheneinheit R1 hinterlegt wurde, beispielsweise in einem Ramspeicher. Weicht die ermittelte Anzahl von Pulsen im Ausgangssignal clk23 des zweiten UND - Gatters AND2 von diesem weiteren Vergleichswert ab, so aktiviert in diesem Fall die erste Pulszahlvergleichereinheit PZVE1 den ersten Rücksetzer RES1, der ein Reset-Signal sr1 über das erste ODER - Gatter OR1 an den Reseteingang RESET2 der zweiten Recheneinheit R2 ausgibt. Dadurch wird die zweite Recheneinheit R2 durch die erste Recheneinheit R1 elektrisch zurückgesetzt.The first pulse number comparator unit PZVE1 of the first arithmetic unit R1 counts the number of individual pulses in the output signal clk23 of the second AND gate AND2 and compares the determined value with a further comparison value stored in the first arithmetic unit R1, for example in a RAM memory. If the determined number of pulses in the output signal clk23 of the second AND gate AND2 deviates from this further comparison value, in this case the first pulse number comparator unit PZVE1 activates the first resetter RES1, which sends a reset signal sr1 via the first OR gate OR1 to the first Reset input RESET2 the second processor R2 outputs. As a result, the second arithmetic unit R2 is electrically reset by the first arithmetic unit R1.

In dem gezeigten Ausführungsbeispiel der Figur 1 kann ebenfalls gleichzeitig der erste Rücksetzer RES1 ein Rücksetzungssignal sae1 über das dritte ODER - Gatter OR3 an die Auslöseeinheit AE weitergeben, wodurch auch die Auslöseeinheit AE in ihren elektrischen Ausgangszustand zurückgesetzt wird.In the exemplary embodiment shown in FIG. 1, the first resetter RES1 can likewise simultaneously pass on a reset signal sae1 via the third OR gate OR3 to the tripping unit AE, as a result of which the tripping unit AE is also reset to its electrical output state.

Im übrigen gilt im gezeigten Ausführungsbeispiel der Figur 1 für das Zurücksetzen der zweiten Recheneinheit R2 und der Auslöseeinheit AE durch den ersten Rücksetzer RES1 und einen dadurch veranlassten erneuten Funktionshochlauf dieser beiden Funktionseinheiten in völlig analoger Weise das für das Zurücksetzen der ersten Recheneinheit R1 und der Auslöseeinheit AE durch den zweiten Rücksetzer RES2 und den dadurch veranlassten erneuten Funktionshochlauf der ersten Recheneinheit R1 und der Auslöseeinheit AE bereits beschriebene.Moreover, in the illustrated embodiment of Figure 1 for the resetting of the second arithmetic unit R2 and the trip unit AE by the first resetter RES1 and thereby caused a new function run-up of these two functional units in a completely analogous manner that for resetting the first processing unit R1 and the trip unit AE by the second resetter RES2 and the thereby caused renewed function start-up of the first arithmetic unit R1 and the trip unit AE already described.

Entsprechend wird auch eine dauerhafte Deaktivierung der ersten Recheneinheit R1 oder der Auslöseeinheit AE des Insassenschutzmittels dabei dem Fahrzeughalter durch eine sog. Airbagwarnlampe in der Fahrzeugarmatur angezeigt.Accordingly, a permanent deactivation of the first computing unit R1 or the trigger unit AE of the occupant protection means is thereby indicated to the vehicle owner by a so-called airbag warning lamp in the vehicle fitting.

Um die Sicherheit im Erkennen möglicher Fehlfunktionen des Steuergerätes des Insassenschutzmittels weiter zu erhöhen, ist in der dargestellten erfindungsgemäßen Steuereinheit eine zusätzliche Funktionsüberwachung der ersten Recheneinheit R1 durch die Auslöseeinheit AE mit Hilfe einer sogenannten ersten watchdog - Schaltung WDS1 realisiert:In order to further increase the safety in detecting possible malfunctions of the control unit of the occupant protection means, an additional function monitoring of the first arithmetic unit R1 by the tripping unit AE with the aid of a so-called first watchdog circuit WDS1 is implemented in the illustrated control unit according to the invention:

Die erste Recheneinheit R1 gibt dabei in periodischen Zeitabständen ein erstes watchdog - Signal wd1 an die Auslöseeinheit AE aus. Beim Ausbleiben des erwarteten watchdog - Signals wd1 am watchdog - Signaleingang AE1 gibt die Auslöseeinheit AE ein Recheneinheitsrücksetzungssignal sae von ihrem Signalausgang SAE an den zweiten Signaleingang sowohl der ersten ODER - Einheit OR1 als auch der zweiten ODER - Einheit OR2 aus, wodurch sowohl die erste Recheneinheit R1 über den ersten Reset-Eingang RESET1 als auch die zweite Recheneinheit R2 über den zweiten Reset-Eingang RESET2 zurückgesetzt wird.The first arithmetic unit R1 outputs a first watchdog signal wd1 to the tripping unit AE at periodic time intervals. In the absence of the expected watchdog signal wd1 at the watchdog signal input AE1, the trip unit AE outputs an arithmetic unit reset signal sae from its signal output SAE to the second signal input of both the first OR unit OR1 and the second OR unit OR2, whereby both the first arithmetic unit R1 is reset via the first reset input RESET1 as well as the second arithmetic unit R2 via the second reset input RESET2.

Alternativ kann auch eine Schaltungsanordnung verwendet werden, bei der der Signalausgang SAE der Auslöseeinheit AE nicht mit dem zweiten Signaleingang der ersten ODER - Einheit OR1 verbunden ist. Folglich gibt die Auslöseeinheit AE dann das Recheneinheitsrücksetzungssignal sae lediglich an den zweiten Signaleingang der zweiten ODER - Einheit OR2, so dass so dass im Fehlerfall der ersten watchdog-Schaltung WDS1 nur die erste Recheneinheit R1 über den ersten Reset-Eingang RESET1 zurückgesetzt wird.Alternatively, it is also possible to use a circuit arrangement in which the signal output SAE of the tripping unit AE is not connected to the second signal input of the first OR unit OR1. Consequently, the trip unit AE then gives the arithmetic unit reset signal sae only to the second signal input of the second OR unit OR2, so that in the event of an error of the first watchdog circuit WDS1 only the first arithmetic unit R1 is reset via the first reset input RESET1.

In jedem Fall können durch die erste watchdog - Schaltung WDS1 ggf. zusätzliche Fehler in der ersten Recheneinheit R1 erkannt werden, die dem Ausgangssignal clk13 des ersten UND - Gatters AND1 nicht entnommen werden können.In any case, the first watchdog circuit WDS1 may cause additional errors in the first computing unit R1 are detected, which can not be taken from the output signal clk13 of the first AND gate AND1.

In entsprechender Weise wie im Falle der ersten Recheneinheit R1 eine Überwachung durch die erste watchdog-Schaltung WDS1 erfolgt wird in Figur 1 auch die zweite Recheneinheit R2 von der Auslöseeinheit AE durch eine zweite watchdog - Schaltung WDS2 über eine Verbindung des zweiten watchdog - Ausgangs WD2 mit einem zweiten watchdog - Eingang AE2 der Auslöseeinheit AE und unter Zuhilfenahme eines periodischen watchdog - Signals wd2 überwacht. Analog zur ersten watchdog-Schaltung WDS1 setzt die Auslöseeinheit AE im Falle der zweiten watchdog-Schaltung WDS2 der Figur 1 bei einem unzulässigen watchdog-Signal wd2 die zweite Recheneinheit R2 als auch die erste Recheneinheit R1 durch das Recheneinheitsrücksetzungssignal sae zurück.In a corresponding manner, as in the case of the first arithmetic unit R1, monitoring by the first watchdog circuit WDS1 takes place in FIG. 1, the second arithmetic unit R2 is also triggered by the tripping unit AE by a second watchdog circuit WDS2 via a connection of the second watchdog output WD2 a second watchdog input AE2 of the trip unit AE and monitored with the aid of a periodic watchdog signal wd2. Analogous to the first watchdog circuit WDS1 sets the trip unit AE in the case of the second watchdog circuit WDS2 of Figure 1 in an inadmissible watchdog signal wd2 the second arithmetic unit R2 and the first arithmetic unit R1 by the arithmetic unit reset signal sae back.

Alternativ ist jedoch auch eine Schaltungsanordnung denkbar, bei der der Signalausgang SAE der Auslöseeinheit AE nicht wie in der Figur 1 gezeigt mit beiden Oder - Gattern OR1 und OR2 verbunden ist, sondern nur mit dem zweiten Signaleingang der ersten ODER - Einheit OR1. Folglich gibt dann die Auslöseeinheit AE das Recheneinheitsrücksetzungssignal sae lediglich an den zweiten Signaleingang der ersten ODER - Einheit OR1 aus, so dass im Fehlerfall der zweiten watchdog-Schaltung WDS2 nur die zweite Recheneinheit R2 über den zweiten Reset-Eingang RESET2 zurückgesetzt wird.Alternatively, however, a circuit arrangement is conceivable in which the signal output SAE of the tripping unit AE is not connected to both OR gates OR1 and OR2 as shown in FIG. 1, but only to the second signal input of the first OR unit OR1. Consequently, the trip unit AE then outputs the arithmetic unit reset signal sae only to the second signal input of the first OR unit OR1, so that in the event of a fault of the second watchdog circuit WDS2 only the second arithmetic unit R2 is reset via the second reset input RESET2.

Auch die zweite watchdog - Schaltung WDS2 kann auf diese Weise ggf. Fehler der zweiten Recheneinheit R2 erkennen, die dem Ausgangssignal clk23 des zweiten UND - Gatters AND2 nicht entnommen werden können.The second watchdog circuit WDS2 can also detect errors of the second processor R2 in this way, which can not be taken from the output signal clk23 of the second AND gate AND2.

Bei ein- oder mehrmaligem Zurücksetzen mindestens einer der beiden Recheneinheiten R1 oder R2 durch mindestens eine der beiden watchdog-Schaltungen WDS1 und WDS2 wird eine Warnlampe im Fahrzeuginneren als Hinweis auf eine mögliche Fehlfunktion der Steuereinheit für das Insassenschutzsystem an den Fahrzeughalter aktiviert.With one or more reset at least one of the two computing units R1 or R2 by at least one of the two watchdog circuits WDS1 and WDS2 is a warning lamp in the vehicle interior as an indication of a possible malfunction activated the occupant protection system control unit to the vehicle owner.

Wie im gezeigten Beispiel der Figur 1 können die beiden watchdog - Schaltungen WDS1 und WDS2 gleichzeitig verwendet werden. Es ist aber ebenso möglich, nur eine der beiden watchdog - Schaltungen WDS1 oder WDS2 innerhalb der erfindungsgemäßen Steuereinheit vorzusehen, die jeweils aber derart verschaltet ist, dass sie mindestens eine der beiden Recheneinheiten R1 und R2 und wahlweise auch die Auslöseeinheit AE zurücksetzen kann.As in the example shown in FIG. 1, the two watchdog circuits WDS1 and WDS2 can be used simultaneously. However, it is also possible to provide only one of the two watchdog circuits WDS1 or WDS2 within the control unit according to the invention, which is however connected in such a way that it can reset at least one of the two arithmetic units R1 and R2 and optionally also the tripping unit AE.

Figur 2 zeigt die erfindungsgemäße Steuereinheit aus Figur 1, jedoch erweitert um ein drittes UND - Gatter AND3. Dem dritten UND - Gatter AND3 sind eingangsseitig die Taktsignale clk1 und clk2 der ersten Recheneinheit R1 und der zweiten Recheneinheit R2 zugeführt. Am Signalausgang des dritten UND - Gatters AND3 liegt ein logisches Summensignal clk23 der beiden Taktsignale clk1 und clk2 der beiden Recheneinheiten R1 und R2 vor, das einem jeweils zweiten Signaleingang der ersten Pulszahlvergleichereinheit PZVE1 und der zweiten Pulszahlvergleichereinheit PZVE2 zugeführt wird. Der jeweilige Signalausgang der ersten bzw. zweiten Pulszahlvergleichereinheit PZVE1 bzw. PZVE2 ist mit dem ersten Rücksetzer RES1 bzw. dem zweiten Rücksetzer RES2 verbunden.FIG. 2 shows the control unit according to the invention from FIG. 1, but expanded by a third AND gate AND3. The third AND gate AND3, on the input side, is supplied with the clock signals clk1 and clk2 of the first arithmetic unit R1 and of the second arithmetic unit R2. At the signal output of the third AND gate AND3 there is a logical sum signal clk23 of the two clock signals clk1 and clk2 of the two arithmetic units R1 and R2, which is supplied to a respectively second signal input of the first pulse number comparator unit PZVE1 and the second pulse number comparator unit PZVE2. The respective signal output of the first or second pulse number comparator unit PZVE1 or PZVE2 is connected to the first resetter RES1 and the second resetter RES2, respectively.

Ein erstes Ausgangssignal sr1 des ersten Rücksetzers RES1 der ersten Recheneinheit R1 wird einem Eingang der ersten ODER - Einheit OR1 zugeführt. Der Signalausgang der ersten ODER - Einheit OR1 ist mit dem zweiten Reseteingang RESET2 verbunden, wie bereits weiter oben erwähnt. Analog ist ein Signalausgang sr2 des zweiten Rücksetzers RES2 der zweiten Recheneinheit R2 mit einem Signaleingang des zweiten ODER - Gatters OR2 verbunden. Der Signalausgang des zweiten ODER - Gatters OR2 ist mit dem ersten Reseteingang RESET1 der ersten Recheneinheit R1 verbunden, wie ebenfalls bereits weiter oben beschrieben.A first output signal sr1 of the first resetter RES1 of the first arithmetic unit R1 is supplied to an input of the first OR unit OR1. The signal output of the first OR unit OR1 is connected to the second reset input RESET2, as already mentioned above. Similarly, a signal output sr2 of the second resetter RES2 of the second arithmetic unit R2 is connected to a signal input of the second OR gate OR2. The signal output of the second OR gate OR2 is connected to the first reset input RESET1 of the first arithmetic unit R1, as also already described above.

Das Ausgangssignal des dritten UND - Gatters c1k12 wird in ganz ähnlicher Weise ausgewertet wie die beiden Ausgangssignale der beiden anderen UND - Gatter AND1 und AND2:The output signal of the third AND gate c1k12 is evaluated in a manner very similar to the two output signals of the two other AND gates AND1 and AND2.

Die erste Pulszahlvergleichereinheit PZVE1 zählt die Anzahl der empfangenen Pulse im Ausgangssignal clk12 des dritten UND - Gatters AND3 und vergleicht die Anzahl der empfangenen Pulse pro Zeiteinheit mit einem vorher festgelegten Wert, der beispielsweise in einem Ramspeicher der ersten Recheneinheit R1 gespeichert ist. Weicht dieser Wert über ein vorher festgelegtes zulässiges Höchstmaß hinaus von dem gespeicherten Wert ab, so aktiviert die erste Pulszahlvergleichereinheit PZVE1 den ersten Rücksetzer RES1, der die zweite Recheneinheit R1 mittelbar über das erste ODER - Gatter OR1 zurücksetzt.The first pulse number comparator unit PZVE1 counts the number of received pulses in the output signal clk12 of the third AND gate AND3 and compares the number of received pulses per unit time with a predetermined value stored, for example, in a RAM memory of the first arithmetic unit R1. If this value deviates from the stored value beyond a previously defined maximum permissible value, then the first pulse number comparator unit PZVE1 activates the first resetter RES1, which indirectly resets the second arithmetic unit R1 via the first OR gate OR1.

Ebenso ermittelt die zweite Pulszahlvergleichereinheit PZVE2 die Anzahl der empfangenen Pulse im Ausgangssignal clk12 des dritten UND - Gatters AND3 und gibt bei einer als unzulässig erkannten Anzahl von Einzelpulsen pro Zeiteinheit die Aktivierung des zweiten Rücksetzers RES2 frei, der daraufhin die erste Recheneinheit R1 mittelbar über das zweite ODER - Gatter OR2 zurücksetzt.Likewise, the second pulse number comparator unit PZVE2 determines the number of received pulses in the output signal clk12 of the third AND gate AND3 and releases the activation of the second reset RES2 if the number of individual pulses per unit of time is inadmissible, which then indirectly activates the first arithmetic unit R1 via the second OR - Reset OR2 gate.

Gleichzeitig mit dem Zurücksetzen der ersten Recheneinheit R1 oder der zweiten Recheneinheit R2 kann im Ausführungsbeispiel der Figur 2 über das dritte ODER - Gatter OR3 ein Zurücksetzen der Auslöseeinheit AE veranlasst werden.Simultaneously with the resetting of the first arithmetic unit R1 or the second arithmetic unit R2, a reset of the tripping unit AE can be initiated in the exemplary embodiment of FIG. 2 via the third OR gate OR3.

Durch Hinzufügen des dritten UND - Gatters AND3 können sich die Recheneinheiten R1 und R2 folglich gegenseitig zurücksetzen, wenn mindestens eines der Taktsignale einer der beiden Recheneinheiten R1 oder R2 gestört ist. Im Gegensatz zu einem Zurücksetzen mindestens einer der beiden Recheneinheiten R1 oder R2 und wahlweise auch der Auslöseeinheit AE aufgrund der Signale clk13 und clk23 des ersten UND - Gatters AND1 und des zweiten UND - Gatters AND2 kann also durch die Auswertung des Ausgangssignals clk12 des dritten UND - Gatters AND3 völlig unabhängig von dem Taktsignal clk3 der Auslöseeinheit AE ein Zurücksetzen der Recheneinheiten R1 und R2 und vorzugsweise auch der Auslöseeinheit AE erfolgen.By adding the third AND gate AND3, the arithmetic units R1 and R2 can thus reset each other if at least one of the clock signals of one of the two arithmetic units R1 or R2 is disturbed. In contrast to resetting at least one of the two arithmetic units R1 or R2 and optionally also the tripping unit AE on the basis of the signals clk13 and clk23 of the first AND gate AND1 and of the Thus, by evaluating the output signal clk12 of the third AND gate AND3, the second AND gate AND2 can be reset completely irrespective of the clock signal clk3 of the trip unit AE and the arithmetic units R1 and R2 and preferably also the trip unit AE can be reset.

Figur 5 zeigt zusammengefasst eine mögliche Entscheidungsmatrix, nach der die beiden Recheneinheiten R1, R2 und die Auslöseeinheit AE der erfindungsgemäßen Steuereinheit nach Figur 2 zurückgesetzt werden können:FIG. 5 shows in summary a possible decision matrix according to which the two arithmetic units R1, R2 and the tripping unit AE of the control unit according to the invention according to FIG. 2 can be reset:

Eine in die Matrix eingetragene Null bedeutet eine ordnungsgemäße Funktionsweise der Taktsignale clk1, clk2, clk3, der logisch UND-verknüpften Taktsignale clk13, clk12, clk23 und auch eine ordnungsgemäße Funktionsweise der ersten Recheneinheit R1, der zweiten Recheneinheit R2 und der Auslöseeinheit AE. Ein in die Entscheidungsmatrix eingetragenes X bedeutet im Gegensatz dazu ein fehlerhaftes Taktsignal clk1, clk2, clk3 oder ein fehlerhaftes zusammengesetztes Taktsignal clk13, clk12 und clk23, bzw. ein fehlerhaftes Funktionieren der ersten Recheneinheit R1, der zweiten Recheneinheit R2 oder der Auslöseeinheit AE.A zero entered in the matrix means a proper functioning of the clock signals clk1, clk2, clk3, the logically AND-linked clock signals clk13, clk12, clk23 and also a proper functioning of the first arithmetic unit R1, the second arithmetic unit R2 and the tripping unit AE. In contrast, an X entered into the decision matrix means a faulty clock signal clk1, clk2, clk3 or a faulty composite clock signal clk13, clk12 and clk23, or an erroneous functioning of the first processor R1, the second processor R2 or the trigger unit AE.

Die in den letzten drei Zeilen eingetragenen Pfeile zeigen mit ihren Spitzen auf diejenigen Recheneinheiten R1 und R2 oder auf die Auslöseeinheit AE, die von der Recheneinheiten R1 oder R2 bzw. von der Auslöseeinheit AE am Ausgangspunkt des Pfeils zurückgesetzt wird.The arrows entered in the last three lines point with their tips to those arithmetic units R1 and R2 or to the tripping unit AE, which is reset by the arithmetic units R1 or R2 or by the tripping unit AE at the starting point of the arrow.

Die Spalten der Entscheidungsmatrix der Figur 5 sind demnach folgendermaßen zu lesen:The columns of the decision matrix of FIG. 5 are therefore to be read as follows:

In der Spalte 1 funktionieren alle Taktsignale clkl, clk2, clk3, clk13, clk12 und clk23 ordnungsgemäß, da auch die beteiligten Recheneinheiten R1, R2 und die Auslöseeinheit AE ordnungsgemäß arbeiten.In column 1, all the clock signals clkl, clk2, clk3, clk13, clk12 and clk23 function properly, as well as the participating computation units R1, R2 and the trip unit AE work properly.

In der zweiten Spalte ist ein fehlerhaftes Taktsignal clk3 der Auslöseeinheit AE eingetragen. Folglich sind auch die kombinierten Taktsignale clk13 und clk23 fehlerhaft. Die ordnungsgemäß funktionierende erste Recheneinheit R1, aber auch die ordnungsgemäß funktionierende zweite Recheneinheit setzen in diesem Fall die fehlerhafte Auslöseeinheit AE zurück.In the second column, a faulty clock signal clk3 of the trip unit AE is entered. Consequently, the combined clock signals clk13 and clk23 are also defective. The properly functioning first arithmetic unit R1, but also the properly functioning second arithmetic unit reset the faulty tripping unit AE in this case.

In der dritten Spalte ist das Taktsignal clk2 der zweiten Recheneinheit R2 fehlerhaft. Folglich sind auch die daraus abgeleiteten Taktsignale c1k12 und c1k23 fehlerhaft. In dieser Konstellation würde die ordnungsgemäß funktionierende erste Recheneinheit R1 die fehlerhafte Recheneinheit R2 zurücksetzen. Die Auslöseeinheit AE funktioniert in diesem Fall zwar fehlerfrei, doch könnte sie aufgrund der in der Figur 2 gezeigten Schaltungsanordnung über das dritte UND - Gatter ebenfalls durch die erste Recheneinheit R1 zurückgesetzt werden.In the third column, the clock signal clk2 of the second arithmetic unit R2 is faulty. Consequently, the clock signals c1k12 and c1k23 derived therefrom are also defective. In this constellation, the properly functioning first arithmetic unit R1 would reset the erroneous arithmetic unit R2. The triggering unit AE works in this case, although error-free, but it could also be reset by the first computing unit R1 due to the circuit arrangement shown in Figure 2 via the third AND gate.

In Spalte 4 funktioniert lediglich die erste Recheneinheit R1 ordnungsgemäß und setzt folglich die fehlerhafte zweite Recheneinheit R2 und die fehlerhafte Auslöseeinheit AE zurück.In column 4, only the first arithmetic unit R1 functions properly and consequently resets the faulty second arithmetic unit R2 and the faulty tripping unit AE.

Analog setzt die in Spalte 6 ordnungsgemäß funktionierende zweite Recheneinheit R2 die fehlerhafte erste Recheneinheit R1 und die fehlerhafte Auslöseeinheit AE zurück.Analogously, the second arithmetic unit R2 functioning properly in column 6 resets the faulty first arithmetic unit R1 and the faulty tripping unit AE.

In Spalte 5 funktioniert neben der Auslöseeinheit AE auch die zweite Recheneinheit R2 bestimmungsgemäß. Da die Erkennung einer fehlerhaft funktionierenden ersten Recheneinheit R1 durch die zweite Recheneinheit R2 erfindungsgemäß schneller zur Verfügung steht als die Rücksetzungsfunktion der Auslöseeinheit AE aufgrund der ersten watchdog - Schaltung WDS1 aus der Figur 1 oder 2, setzt die fehlerfrei funktionierende zweite Recheneinheit R2 zunächst die fehlerhafte erste Recheneinheit R1 zurück und erst in einem zweiten Schritt und mittelbar über das dritte ODER - Gatter OR3 wahlweise auch die Auslöseeinheit AE.In column 5, in addition to the tripping unit AE, the second arithmetic unit R2 also works as intended. Since the recognition of an incorrectly functioning first arithmetic unit R1 by the second arithmetic unit R2 according to the invention faster available than the reset function of the trip unit AE due to the first watchdog - WDS1 circuit of Figure 1 or 2, the error-free functioning second arithmetic unit R2 first sets the erroneous first Arithmetic unit R1 back and only in a second step and indirectly via the third OR gate OR3 optionally also the trip unit AE.

Es bleiben noch die beiden Sonderfälle der Spalten 7 und 8 zu erläutern:The two special cases of columns 7 and 8 remain to be explained:

Den ersten Sonderfall der Entscheidungsmatrix zeigt Spalte 7. Hier arbeitet nur die Auslöseeinheit AE erwartungsgemäß. Ein Zurücksetzen der beiden Recheneinheiten R1 und R2 erfolgt deshalb aufgrund der beiden watchdog - Schaltungen WDS1 und WDS2, über die die Auslöseeinheit AE die Fehlfunktion der beiden Recheneinheiten R1 und R2 erkennen kann und deshalb das Reset - Signal sae zu deren Zurücksetzung ausgibt.The first special case of the decision matrix is shown in column 7. Here, only the trip unit AE works as expected. A reset of the two arithmetic units R1 and R2 therefore takes place on the basis of the two watchdog circuits WDS1 and WDS2, via which the tripping unit AE can recognize the malfunction of the two arithmetic units R1 and R2 and therefore outputs the reset signal sae for their reset.

In Spalte 8 funktioniert keine der Recheneinheiten R1 oder R2 ordnungsgemäß und ebenso wenig die Auslöseeinheit AE. Dieser Fehler der Steuereinheit stellt einen Dreifachfehler dar und ist deshalb sehr unwahrscheinlich. Für diesen Fall kann das Verhalten der Schaltung nicht vorhergesagt werden.In column 8, none of the arithmetic units R1 or R2 functions properly and neither does the tripping unit AE. This error of the control unit is a triple error and is therefore very unlikely. In this case, the behavior of the circuit can not be predicted.

Claims (12)

  1. Control unit for activating an occupant protection means in a motor vehicle,
    comprising a first arithmetic unit (R1) and a second arithmetic unit (R2), as well as an activating unit (AE), wherein the first arithmetic unit (R1), the second arithmetic unit (R2) and the activating unit (AE) are in each case clocked asynchronously relative to one another, and
    - the control unit comprises a first and a second logical AND gate (AND1, AND2),
    - the first arithmetic unit (R1) of the control unit has a first pulse count comparator unit (PZVE1) and a first resetter (RES1),
    - the second arithmetic unit (R2) of the control unit has a second pulse count comparator unit (PZVE2) and a second resetter (RES2),
    - both the clock signal (clk1) of the first arithmetic unit (R1) and the clock signal (clk3) of the activating unit (AE) are fed to the first logical AND gate (AND1) on the input side,
    - an output (clk13) of the first logical AND gate (AND1) is connected to an input of the second pulse count comparator unit (PZVE2),
    - an output of the second pulse count comparator unit (PZVE2) is connected to an input of the second resetter (RES2),
    - an output of the second resetter (RES2) is connected directly or indirectly to a reset input (RESET1) of the first arithmetic unit (R1),
    and
    - both the clock signal (clk2) of the second arithmetic unit (R2) and the clock signal (clk3) of the activating unit (AE) are fed to the second logical AND gate (AND2) on the input side,
    - an output (clk23) of the second logical AND gate (AND2) is connected to an input of the first pulse count comparator unit (PZVE1),
    - an output of the first pulse count comparator unit (PZVE1) is connected to an input of the first resetter (RES1),
    - an output of the first resetter (RES1) is connected directly or indirectly to a reset input (RESET2) of the second arithmetic unit (R2),
    such that
    - the first resetter (RES1) resets the second arithmetic unit (R2) by outputting a first reset signal (sr1) if the first pulse count comparator unit (PZVE1) detects an inadmissible number of pulses per unit of time in the output signal of the second AND gate (AND2) and
    - the second resetter (RES2) resets the first arithmetic unit (R1) by outputting a second reset signal (sr2) if the second pulse count comparator unit (PZVE2) detects an inadmissible number of pulses per unit of time in the output signal of the first AND gate (AND1).
  2. Control unit according to claim 1,
    characterised in that
    - the control unit has a first and a second logical OR gate (OR1, OR2),
    - an output of the second resetter (RES2) is connected indirectly via the second OR gate (OR2) to the reset input (RESET1) of the first arithmetic unit (R1),
    - an output of the first resetter (RES1) is connected indirectly via the first OR gate (OR1) to the reset input (RESET2) of the second arithmetic unit (R2),
    such that
    - the first resetter (RES1) resets the second arithmetic unit (R2) by outputting a first reset signal (sr1) indirectly via the first OR gate (OR1) if the first pulse count comparator unit (PZVE1) detects an inadmissible number of pulses per unit of time in the output signal (clk23) of the second AND gate (AND2) and
    - the second resetter (RES2) resets the first arithmetic unit (R1) by outputting a second reset signal (sr2) indirectly via the second OR gate (OR2) if the second pulse count comparator unit (PZVE2) detects an inadmissible number of pulses per unit of time in the output signal (clk13) of the first AND gate (AND1).
  3. Control unit according to claim 1 or claim 2,
    characterised in that
    - the first resetter (RES1) and/or the second resetter (RES2) is/are connected directly or indirectly to a reset input (RESETAE) of the activating unit (AE),
    such that
    - the first resetter (RES1) resets the activating unit (AE) by outputting a first activator reset signal (sae1) if the first pulse count comparator unit (PZVE1) detects an inadmissible number of pulses per unit of time in the output signal (clk23) of the second AND gate (AND2) and/or
    - the second resetter (RES2) resets the activating unit (AE) by outputting a second activator reset signal (sae2) if the second pulse count comparator unit (PZVE2) detects an inadmissible number of pulses per unit of time in the output signal (clk13) of the first AND gate (AND1).
  4. Control unit according to any one of claims 1 to 3,
    characterised in that
    - the control unit has a third logical AND gate (AND3),
    - the clock signal (clk1) of the first arithmetic unit (R1) and the clock signal (clk2) of the second arithmetic unit (R2) are fed to the third logical AND gate (AND3) on the input side,
    - the output signal (clk12) of the third logical AND gate (AND3) is connected to both an input of the first pulse count comparator unit (PZVE1) and an input of the second pulse count comparator unit (PZVE2),
    such that
    - the first resetter (RES1) resets the second arithmetic unit (R2) by outputting a first reset signal (sr1) if the first pulse count comparator unit (PZVE1) detects an inadmissible number of pulses per unit of time in the output signal (clk12) of the third AND gate (AND3) and
    - the second resetter (RES2) resets the first arithmetic unit (R1) by outputting a second reset signal (sr2) if the second pulse count comparator unit (PZVE2) detects an inadmissible number of pulses per unit of time in the output signal (clk12) of the third AND gate (AND3).
  5. Control unit according to any one of the preceding claims,
    characterised in that
    - a watchdog input of the activating unit (AE1) is connected to a first watchdog output (WD1) of the first arithmetic unit (R1),
    - an arithmetic unit resetting output (SAE) of the activating unit is connected directly or indirectly via the second OR gate (OR2) to the reset input (RESET1) of the first arithmetic unit (R1),
    such that
    - the activating unit (AE) outputs an arithmetic unit resetting signal (sae) directly or indirectly via the second OR gate (OR2) to the reset input (RESET1) of the first arithmetic unit (R1) if the activating unit (AE) receives an inadmissible watchdog signal (wd1) from the first watchdog output (WD1).
  6. Control unit according to any one of the preceding claims,
    characterised in that
    - a signal input of the activating unit (AE) is connected to a second watchdog output (WD2) of the second arithmetic unit (R2),
    - the arithmetic unit resetting output (SAE) of the activating unit (AE) is connected directly or indirectly via the first OR gate (OR1) to the reset input (RESET2) of the second arithmetic unit (R2),
    such that
    the activating unit (AE) outputs the arithmetic unit resetting signal (sae) directly or indirectly via the first OR gate (OR1) to the reset input of the second arithmetic unit (RESET2) if the activating unit (AE) receives an inadmissible second watchdog signal (wd2) from the second watchdog output (WD2).
  7. Method for monitoring the proper functioning of a control unit according to any one of claims 1 to 6, wherein
    - a first combined signal (clk13) is generated by a first logical operation (AND1) from the two clock signals (clk1, clk3) of a first arithmetic unit (R1) and of an activating unit (AE),
    - a second arithmetic unit (R2) counts the number of pulses of the first combined signal (clk13) during a time window,
    - the second arithmetic unit (R2) compares the number of pulses counted with a reference value which is stored in the memory of the second arithmetic unit (R2) and
    - the second arithmetic unit (R2) outputs a resetting signal to a first reset input (RESET1) of the first arithmetic unit (R1) if the number of pulses counted deviates by more than an admissible extent from the reference value stored in the memory of the second arithmetic unit (R2).
  8. Method according to claim 7,
    characterised in that
    - a second combined signal (clk23) is generated by a second logical operation (AND2) from the two clock signals (clk2, clk3) of the second arithmetic unit (R2) and of the activating unit (AE),
    - the first arithmetic unit (R1) counts the number of pulses of the second combined signal (clk23) during a time window,
    - the first arithmetic unit (R1) compares the number of pulses counted with a reference value which is stored in the memory of the first arithmetic unit (R1) and
    - the first arithmetic unit (R1) outputs a resetting signal to a second reset input (RESET2) of the second arithmetic unit (R2) if the number of pulses counted deviates by more than an admissible extent from the reference value.
  9. Method according to any one of claims 7 or 8,
    characterised in that
    - the first arithmetic unit (R1) resets the activating unit (AE) by outputting a first activator reset signal (sae1) if the first arithmetic unit (R1) detects an inadmissible number of pulses per unit of time in the second combined signal (clk23) and/or
    - the second arithmetic unit (R2) resets the activating unit (AE) by outputting a second activator reset signal (sae2) if the second arithmetic unit (R2) detects an inadmissible number of pulses per unit of time in the first combined signal (clk13).
  10. Method according to any one of claims 7 to 9,
    characterised in that
    - a third combined signal (clk12) is generated by a third logical operation (AND3) from the two clock signals (clk1, clk2) of the first arithmetic unit (R1) and of the second arithmetic unit (R2),
    - both the first arithmetic unit (R1) and the second arithmetic unit (R2) count the number of pulses of the third combined signal (clk12) during a time window,
    - both the first arithmetic unit (R1) and the second arithmetic unit (R2) each compare the number of pulses counted with a reference value which is stored in the memory of the first arithmetic unit (R1) or in the memory of the second arithmetic unit (R2),
    - the first arithmetic unit (R1) resets the second arithmetic unit (R2) by outputting a first reset signal (sr1) if the first arithmetic unit (R1) detects, by means of the comparison with the respective reference value, an inadmissible number of pulses per unit of time in the third combined signal (clk12) and
    - the second arithmetic unit (R2) resets the first arithmetic unit (R1) by outputting a second reset signal (sr2) if the second arithmetic unit (R2) detects, by means of the comparison with the respective reference value, an inadmissible number of pulses per unit of time in the third combined signal (clk12).
  11. Method according to any one of claims 8 to 10,
    characterised in that
    - a first watchdog signal (wd1) is fed from a first watchdog output (WD1) of the first arithmetic unit (R1) to a first watchdog input (AE1) of the activating unit (AE) and thereupon
    - an arithmetic unit resetting output (SAE) of the activating unit (AE) outputs an arithmetic unit resetting signal (sae) to the first reset input (RESET1) of the first arithmetic unit (R1) if the first watchdog signal (wd1) is inadmissible
    and/or
    - a second watchdog signal (wd2) is fed from the second watchdog output (WD2) of the second arithmetic unit (R2) to a second watchdog input (AE2) of the activating unit (AE) and thereupon
    - the arithmetic unit resetting output (SAE) of the activating unit (AE) outputs the arithmetic unit resetting signal (sae) to the second reset input (RESET2) of the second arithmetic unit (R2) if the second watchdog signal (wd2) is inadmissible.
  12. Method according to any one of claims 7 to 11,
    characterised in that
    one of the two arithmetic units (R1, R2) of the control unit of an occupant protection system of a motor vehicle deactivates the occupant protection system at least partially after single or multiple resetting of the respective other arithmetic unit (R1, R2) or of the activating unit (AE) and/or displays the malfunctions of the control unit and the at least partial deactivation of the occupant protection means to the vehicle occupant.
EP03767420A 2002-11-14 2003-11-12 Control unit for activating a protection mechansim for passengers of a motor vehicle and method for monitoring the proper operation of such a control unit Expired - Fee Related EP1561165B1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10252990A DE10252990B3 (en) 2002-11-14 2002-11-14 Control unit for a motor vehicle occupant safety system, especially an airbag system, has additional AND gates in addition to dual controlling computers to ensure reliable detection and resetting of a faulty computer unit
DE10252990 2002-11-14
PCT/DE2003/003737 WO2004043737A2 (en) 2002-11-14 2003-11-12 Control unit for activating an occupant protection means in a motor vehicle and method for monitoring the proper functioning of a control unit preferably of this type

Publications (2)

Publication Number Publication Date
EP1561165A2 EP1561165A2 (en) 2005-08-10
EP1561165B1 true EP1561165B1 (en) 2007-05-09

Family

ID=32010489

Family Applications (1)

Application Number Title Priority Date Filing Date
EP03767420A Expired - Fee Related EP1561165B1 (en) 2002-11-14 2003-11-12 Control unit for activating a protection mechansim for passengers of a motor vehicle and method for monitoring the proper operation of such a control unit

Country Status (6)

Country Link
US (1) US7426430B2 (en)
EP (1) EP1561165B1 (en)
JP (1) JP4107671B2 (en)
DE (2) DE10252990B3 (en)
ES (1) ES2282683T3 (en)
WO (1) WO2004043737A2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10350853A1 (en) * 2003-10-31 2005-06-02 Conti Temic Microelectronic Gmbh Circuit arrangement for monitoring a motor vehicle safety device
DE102004056416A1 (en) * 2004-11-23 2006-05-24 Robert Bosch Gmbh Accelerometer in a controller
US7436291B2 (en) * 2006-01-03 2008-10-14 Alcatel Lucent Protection of devices in a redundant configuration
JP2013156207A (en) * 2012-01-31 2013-08-15 Semiconductor Components Industries Llc Flow measurement device of fluid
DE102012216529B4 (en) * 2012-09-17 2020-09-17 Robert Bosch Gmbh Method for triggering at least one personal protection device as well as system and computer program product for carrying out the method
JP6022965B2 (en) * 2013-02-15 2016-11-09 株式会社マキタ Electric tool equipment

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3659089A (en) * 1970-12-23 1972-04-25 Ibm Error detecting and correcting system and method
JPS5870035A (en) * 1981-10-21 1983-04-26 Nippon Soken Inc Method of controlling constant speed travelling of vehicle and apparatus therefor
DE3700986C2 (en) 1987-01-15 1995-04-20 Bosch Gmbh Robert Device for monitoring a computer system with two processors in a motor vehicle
DE3926377C2 (en) 1989-08-04 2003-03-06 Bosch Gmbh Robert Electronic control device for an internal combustion engine
DE4004709C2 (en) * 1990-02-15 1999-01-07 Bosch Gmbh Robert Computer system
DE4039355C2 (en) * 1990-12-10 1998-07-30 Bosch Gmbh Robert Device for checking the function of a watchdog circuit
JPH064353A (en) * 1992-06-17 1994-01-14 Sumitomo Electric Ind Ltd Mutual monitor circuit for plural microcomputers
FR2744862B1 (en) * 1996-02-12 1998-04-30 Motorola Semiconducteurs CIRCUIT FOR CONTROLLING THE ELECTRICAL SUPPLY OF AN IGNITOR ELEMENT
JP3473399B2 (en) * 1998-05-18 2003-12-02 セイコーエプソン株式会社 Apparatus and method for monitoring clock operation in control system
DE10030991A1 (en) * 2000-06-30 2002-01-10 Bosch Gmbh Robert Microcontroller and watchdog operation synchronization method for vehicle control device, involves operating watchdog based on time period elapsed after booting up to resetting operation of microcontroller
DE10049440A1 (en) * 2000-10-06 2002-04-11 Daimler Chrysler Ag Watchdog unit resetting method for e.g. vehicle applications, involves calculating trigger value which is used for resetting unit
DE10056408C1 (en) 2000-11-14 2002-03-07 Bosch Gmbh Robert Processor monitoring device uses watchdog for monitoring system clock and providing software checking function and component check monitoring function
DE10151012A1 (en) * 2001-10-16 2003-04-17 Volkswagen Ag Computer error monitoring method e.g. for motor vehicle electronic control and braking systems, involves transmitting reset pulse via signal lines when error state of computer unit is detected

Also Published As

Publication number Publication date
US7426430B2 (en) 2008-09-16
US20060064217A1 (en) 2006-03-23
JP4107671B2 (en) 2008-06-25
ES2282683T3 (en) 2007-10-16
EP1561165A2 (en) 2005-08-10
WO2004043737A3 (en) 2005-03-24
JP2006506263A (en) 2006-02-23
DE10252990B3 (en) 2004-04-15
DE50307259D1 (en) 2007-06-21
WO2004043737A2 (en) 2004-05-27

Similar Documents

Publication Publication Date Title
EP0693401B1 (en) Data transmission process adapted for a data processing system in vehicles
EP0479792B1 (en) Vehicle-occupant safety system
DE102005030770B4 (en) Circuit arrangement and method for controlling a safety device for a vehicle
DE102006013381B4 (en) Control device for a motor vehicle safety system
EP0691244A2 (en) Test method for a passive safety device in motor vehicles
EP1339571A1 (en) Control device for a restraint system in a motor vehicle
DE3924595A1 (en) CONTROL ARRANGEMENT FOR A RESTRAINT SYSTEM IN MOTOR VEHICLES
EP1638829A1 (en) Method and arrangement for eliminating false messages in monitoring systems
EP1615087B1 (en) Control and regulation unit
DE4446314A1 (en) Method and circuit arrangement for monitoring the function of a program-controlled circuit
EP1561165B1 (en) Control unit for activating a protection mechansim for passengers of a motor vehicle and method for monitoring the proper operation of such a control unit
DE112009001956B4 (en) Reliable self-test for motion sensor modules
EP2610103A1 (en) Method and apparatus for controlling an actuator and occupant protection system
EP1807760B1 (en) Data processing system with a variable clock speed
EP1046109B1 (en) Method and device for synchronising and testing a processor and a monitoring circuit
EP0996060A2 (en) Single processor system
DE10312553B3 (en) Automobile with several control devices switched between active and inactive conditions and central monitoring control device providing watch-dog function
EP3283321B1 (en) Detecting activation of an operator control element in a motor vehicle
DE3731097C2 (en) Circuit arrangement for monitoring a device controlled by two microprocessors, in particular motor vehicle electronics
DE102015215847B3 (en) Device and method for increasing the functional safety in a vehicle.
DE102015203253A1 (en) Safety circuit unit
DE102006049121B3 (en) Collision e.g. front collision, detection device for motor vehicle, has hardware components that respond to signal sequence of evaluation unit and deactivates occupant restraint system during sequence absence and enforces resetting of unit
DE102004036291B4 (en) Circuit arrangement and method for controlling a safety device for a vehicle
DE19743914A1 (en) Method of controlling motor vehicle occupant protection system
DE102015119611B4 (en) Improving the diagnosability of fail-operational systems

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20050427

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PT RO SE SI SK TR

RBV Designated contracting states (corrected)

Designated state(s): DE ES FR GB IT

RTI1 Title (correction)

Free format text: CONTROL UNIT FOR ACTIVATING A PROTECTION MECHANSIM FOR PASSENGERS OF A MOTOR VEHICLE AND METHOD FOR MONITORING THE PROPER OPERATION OF SUCH A CONTROL UNIT

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): DE ES FR GB IT

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

GBT Gb: translation of ep patent filed (gb section 77(6)(a)/1977)

Effective date: 20070509

REF Corresponds to:

Ref document number: 50307259

Country of ref document: DE

Date of ref document: 20070621

Kind code of ref document: P

ET Fr: translation filed
REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2282683

Country of ref document: ES

Kind code of ref document: T3

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed

Effective date: 20080212

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20081121

Year of fee payment: 6

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: ES

Payment date: 20081121

Year of fee payment: 6

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: IT

Payment date: 20081120

Year of fee payment: 6

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FR

Payment date: 20081113

Year of fee payment: 6

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20081117

Year of fee payment: 6

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20091112

REG Reference to a national code

Ref country code: FR

Ref legal event code: ST

Effective date: 20100730

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20091130

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20100601

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20091112

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20091112

REG Reference to a national code

Ref country code: ES

Ref legal event code: FD2A

Effective date: 20110401

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: ES

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20110322

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: ES

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20091113